cisco交换机配置及安全防护全解

1.2认证方式
启用AAA，并配置登录验证为loacl本地认证 switch(config)#aaa new-model
switch(config)#aaa authentication login default local
1.3管理IP地址控制 配置访问控制列表
switch(config)#access-list 12 permit host 1.1.1.1
switch(config-line)#password password
switch(config-line)#login
2.用户 账号与口令安全
2.1 Service password 密码
采用service password-encryption，使口令加密方式得到增强 switch(config)#service password-encryption
3.日志与审计
3.1 SNMP协议安全
修改SNMP的团体串默认通行字，通行字符串应符合口令强度要求， 使用ACL限制只与特定主机进行SNMP协议交互 switch(config)#access-list 75 permit host 14.2.6.60
switch(config)#access-list 75 deny any log 2

更改特权密码 1234(config)#enable password 123 1234(config)#

1234(config)#enable secret 234 1234(config)#
查看全局配置 Switch#show running-config

保存当前配置 Switch#copy running-config startup-config
交换机典型配置
内容提要：
交换机的基本功能典型配置
交换机的安全策略典型配置
CISCO交换机的基本功能配置
计算机连接到控制台接口

用户模式 特权模式
Switch> Switch>enable Switch# Switch#configure terminal Switch(config)#


全局模式

hostname 1234 enable secret 5 $1$CCFV$0DTd3rSPZNycrVDjn1rKv/ （MD5 加密的字符串） enable password 123 当明文和密文同时存在时，密文优先级高。
全局模式下进入端口后，可以对端口进行配置。 Switch#conf t Switch(config)#interface gigabitEthernet 0/1 Switch(config-if)# 批量修改端口 range命令 Switch(config)#interface range gigabitEthernet 0/1 - 48 Switch(config-if-range)# 端口速率： Switch(config-if)#speed ? 10 Force 10 Mbps operation 100 Force 100 Mbps operation 1000 Force 1000 Mbps operation auto Enable AUTO speed configuration Switch(config-if)#speed auto Switch(config-if)#
当一个端口允许多个vlan通过时，trunk allowed vlan中要添加各条vlan信息 Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunk Switch(config-if)# switchport trunk allowed vlan all Switch(config-if)#switchport trunk allowed vlan 10,50,60 Switch(config-if)#switchport trunk allowed vlan add 20 （remove 删除） Switch(config-if)#switchport trunk allowed vlan add 30 Switch(config-if)#switchport trunk allowed vlan add 40 Switch(config-if)#switchport trunk native vlan 1 Switch(config-if)#no shutdown Switch(config-if)#end Switch#copy running-config startup-config
2.2 enable密码
采用secret对密码进行加密，使用不可逆加密算法加密。 switch(config)#enable secret 2-pwd-rouT switch(config)#no enable password
2.3 账户登录空闲时间 设置consloe口登录超时时间5分钟 switch(config)#line console 0 switch(config-line)#exec-timeout 5 switch(config)#line vty 0 4 switch(config-line)#exec-timeout 5
switch(config)#line vty 0 4 switch(config-line)#access-class 12 in
1.4 console端口管理 console需配置口令认证信息，防止无权限用户通过console 口登录设备，设置登录时间限制。 switch(config)#line console 0 switch(config-line)#exec-timeout 5
Switch#conf t Switch(config)#vlan 10 Switch(config-vlan)#name vlan10 Switch(config-vlan)#exit Switch(config)#interface vlan 10 Switch(config-if)#ip address 192.168.10.1 255.255.255.0 Switch(config-if)#end Switch#copy running-config startup-config
2.4密码长度
密码长度至少8位，并包括数字、小写字母、大写字母、和特殊 符号4类中至少2类 switch(config)#username user password
2.5 用户账号管理
按照用户分配账号，避免不同用户账号共享 switch(config)#username user1 password Aa_12345 switch(config)#username user1 privilege 1 switch(config)#username user2 password Aa_abcd5 switch(config)#username user2 privilege 1

Vlan设置范围：1---4094 在全局模式下配置vlan Switch#conf t Switch(config)#vlan 10 Switch(config-vlan)#name vlan10 Switch(config-vlan)#vlan 20 Switch(config-vlan)#name vlan20

双工模式： Switch(config-if)#duplex ? auto Enable AUTO duplex configuration full Force full duplex operation half Force half-duplex operation

Switch(config-if)#duplex auto Switch(config-if)# 端口描述 Switch(config-if)#description vlan 10 trunk Switch(config-if)#
配置ip地址的命令格式： ip address {ip-address} {netmask}
测试常用端口类型
Access / trunk
将此端口设置为vlan10 的access口 Switch(config-if)#switchport mode access Switch(config-if)#switchport access vlan 10 Switch(config-if)# 将此端口设置为vlan10 的trunk口 Switch(config-if)#switchport trunk encapsulation dot1q Switch(config-if)#switchport mode trunk Switch(config-if)#switchport trunk allowed vlan 10

恢复出厂默认 Switch#erase startup-config Sw源自文库tch#reload

明文密码和密文密码 Password 1234#show running-config

hostname 1234 enable password 123
Secret 1234#show running-config
cisco交换机的安全策略典型配置
1.设备管理
1.1远程管理服务 配置域名 switch(config)#ip domain-name switch.domin-name 生成RSA密钥对 switch(config)#crypto key generate rsa ! How many bits in the modulus [512]:2048 Generating RSA keys [ok] 配置仅允许ssh远程登录 switch(config)#line vty 0 4 switch(config-line)#transport input ssh switch(config-line)#exit
此端口为vlan10 vlan20 vlan30 vlan40的trunk口，default vlan 1经过

光端口配置
Switch(config)#interface gigabitEthernet 0/25 Switch(config-if)# switchport mode access Switch(config-if)#switchport access vlan 10 Switch(config-if)#no shutdown Switch(config-if)#end Switch#copy running-config startup-config 注意： 由于思科的交换机只自动识别自己品牌的光模块，所以如果用其他 品牌的光模块，需在配置模式下输入一下两条命令，开启兼容性。 service unsupported-transceiver no errdisable detect cause gbic-invalid 命令输入完成后保存设置重启设备
每次进入交换机时，首先会进入到用户模式下 ，在此模式下不能对交换机进 行修改、甚至有些信息都无法查看，为了更进一步的对交换机进行操作，我们必 须进入到特权模式或全局模式，而从用户模式下只能进入特权模式，再从特权模 式进入全局模式，也就是说之中不能跨级。
更改主机名 Switch>en Switch#conf t Switch(config)#hostname 1234 1234(config)#

Vlan名称可以自行定义
在全局模式下加入VTP域example Switch(config)#vtp mode client Switch(config)#vtp domain example

Switch#show vlan
查看vlan配置信息

vlan10配置192.168.10.1/24的ip地址